مايكروسوفت في أكتوبر التصحيح الثلاثاء لقد وصل الانخفاض، ليعالج إجمالي خمس ثغرات أمنية تم الكشف عنها علنًا – اثنتان منها تم استغلالهما في البرية، وثلاث مشكلات حرجة أخرى تستحق الاهتمام – في تحديث كبير نسبيًا.
على الرغم من اعتدال خطورتهما، وحصولهما على درجات CVSS تبلغ 7.8 و6.5 على التوالي، إلا أن هاتين الثغرتين المستغلتين يجب أن تكونا على رأس اهتمامات فرق الأمان هذا الشهر، مع وجود ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في وحدة التحكم الإدارية لـ Microsoft – CVE-2024-43572 – والأخرى ثغرة أمنية في نظام Windows MSHTLM الأساسي – CVE-2024-45373.
“أكتوبر هو شهر التوعية بالأمن السيبراني! وما هي أفضل طريقة للبقاء على دراية بالأمن السيبراني بدلاً من قراءة آخر التحديثات الأمنية التي تصل إلى السوق إيفانتي نائب رئيس المنتجات الأمنية كريس جويتل.
“قامت Microsoft بحل 117 مشكلة من التهديدات الخطيرة الجديدة هذا الشهر، ثلاثة منها تم تصنيفها على أنها حرجة من قبل Microsoft. تحتوي قائمة هذا الشهر على اثنتين من ثغرات يوم الصفر التي تم الكشف عنها علنًا مما يعرضها لخطر الاستغلال على نطاق أوسع. تم حل هاتين الثغرات الأمنية من خلال تحديث نظام التشغيل Windows لهذا الشهر، مما يجعل ذلك أولويتك القصوى لتقليل المخاطر بسرعة.
من بين هذين الأمرين، يجب معالجة مشكلة وحدة التحكم بالإدارة لـ Microsoft بشكل عاجل مختبرات غامرة مدير أول لأبحاث التهديدات كيف برين.
وقال: “بينما تشير الملاحظات إلى أن تنفيذ التعليمات البرمجية عن بعد، فإن هذه الثغرة الأمنية تتطلب تفاعل المستخدم ودرجة معينة من الهندسة الاجتماعية”. “لاستغلال هذه الثغرة الأمنية، يجب على المهاجم إنشاء ملف .msc ضار، والذي، في حالة فتحه، سيقوم بتشغيل تعليمات برمجية أو أوامر عشوائية تسمح لممثل التهديد باختراق المضيف.
قال برين: “عادةً ما يتم إرسال هذا الملف عبر البريد الإلكتروني كمرفق أو كرابط للتنزيل”. “بعد التصحيح، يجب على فرق الأمان وصائدي التهديدات التحقق بشكل استباقي من السجلات التاريخية بحثًا عن مؤشرات على إرسال هذه الملفات واستلامها.”
المراقبة والحظر
وأضاف برين أن أولئك الذين لم يتمكنوا من نشر التصحيح على الفور يجب أن يفكروا في إضافة قواعد مراقبة وحظر إضافية تستهدف ملفات .msc – كما يمنع الإصلاح المنشور هذه الملفات من التنفيذ على النظام.
وفي الوقت نفسه، قام زميل برين نيكولاس سيميريكيتش، مهندس الأمن السيبراني في Immersive Labs، بتشغيل القاعدة على CVE-2024-45373. وقال: “تسمح الثغرة الأمنية للمهاجم بخداع المستخدمين لعرض محتوى الويب الضار، والذي قد يبدو شرعيًا بسبب الطريقة التي تتعامل بها المنصة مع عناصر ويب معينة.
“بمجرد خداع المستخدم للتفاعل مع هذا المحتوى، عادةً من خلال هجمات التصيد الاحتيالي، يمكن للمهاجم أن يحصل على وصول غير مصرح به إلى المعلومات الحساسة أو التلاعب بالخدمات المستندة إلى الويب. والأهم من ذلك، أن هذا الهجوم لا يتطلب أذونات خاصة أو معرفة بنظام المستخدم، مما يسهل نسبيًا على مجرمي الإنترنت تنفيذه.
على الرغم من تصنيفها على أنها أقل خطورة، إلا أنها يتم استغلالها بالفعل مما يجعلها مصدر قلق بالغ للمؤسسات الكبيرة، وخاصة تلك التي تقوم بتشغيل الكثير من تطبيقات الويب القديمة – على سبيل المثال، تدعم منصة MSHTML متصفح Internet Explorer المتوقف الآن – والذي لا يزال يستخدم على نطاق واسع لأسباب التوافق.
وقال سيميريكيتش إن هذا يخلق مخاطر للموظفين الذين يستخدمون الأنظمة القديمة في عملهم اليومي، “خاصة إذا كانوا يصلون إلى بيانات حساسة أو يقومون بإجراء معاملات مالية عبر الإنترنت”.
تجعد وتموت
وتشمل الأخطاء الثلاثة الأخرى التي تم الكشف عنها علنًا CVE-2024-6197، مشكلة RCE في Open Source Curl، CVE-2024-20659 مشكلة تجاوز ميزة الأمان في Windows Hyper-V، و CVE-2024-43583، ارتفاع ثغرة الامتياز في Winlogon. وتحمل الثلاثة جميعها درجات CVSS تتراوح بين سبعة وثمانية، ولكن لم يُعرف حتى الآن أنه تم استغلال أي منها.
أولها يؤثر على المصادر المفتوحة المستخدمة على نطاق واسع حليقة وأوضح مايك والترز، الرئيس والمؤسس المشارك لـ Action1، أن المشكلة التي تنشأ عندما يتم تحرير الذاكرة غير المخصصة في الكومة بشكل غير صحيح، مما يؤدي إلى سلوك غريب يمكن استغلاله لتنفيذ التعليمات البرمجية.
وقال والترز إن هذا الأمر مثير للقلق بشكل خاص لأنه يؤثر على البنية الأساسية لإدارة الذاكرة في Curl، والتي تعد جزءًا لا يتجزأ من عمليات نقل البيانات في بروتوكولات الشبكة المتعددة. على الرغم من أن Windows لا يأتي عادةً مع مكتبة Curl، إلا أنه يتضمن أداة سطر الأوامر الخاصة به، ومن هنا جاء التنبيه.
“تشمل العواقب المحتملة لاستغلال هذه الثغرة الأمنية تنفيذ تعليمات برمجية عن بعد على نظام العميل بواسطة مهاجم؛ تصبح الأنظمة المخترقة بوابات لتسرب البيانات أو المزيد من التسلل إلى الشبكة، [and] قال والترز: “السيطرة الكاملة على العميل المتأثر، مما قد يؤدي إلى توزيع البرامج الضارة على نطاق واسع أو إساءة استخدامها”.
“يمكن للمهاجمين استخدام هذه الثغرة الأمنية لإجراء هجوم رجل في المنتصف [MitM] الهجمات عن طريق إعادة توجيه طلبات العملاء إلى خوادم ضارة. إذا تم دمجها مع نقاط الضعف التي تسمح بالحركة الجانبية للشبكة، فقد يؤدي ذلك إلى تعزيز قدرة المهاجم بشكل كبير على التسلل والتحكم في أجزاء كبيرة من شبكة المؤسسة.
وقال: “نظرًا لانتشار Curl عبر كل من الأنظمة مفتوحة المصدر والملكية، فإن أثرها واسع النطاق”.
وفي الوقت نفسه، ينبع عيب Winlogon EoP من المعالجة غير السليمة للعمليات أثناء مرحلة تسجيل الدخول إلى النظام، ويتم تسهيله من خلال نقاط الضعف الأساسية في كيفية تفاعل Winlogon مع محررات أسلوب الإدخال (IMEs)، وخاصة محررات الطرف الثالث.
وقال والترز: “يمكن استخدام هذه الثغرة الأمنية في هجوم متعدد الخطوات، حيث يمكن الحصول على الوصول الأولي من خلال استغلال محلي آخر أو تكتيكات الهندسة الاجتماعية”. “بمجرد حصول المهاجمين عن بعد على إمكانية الوصول المحلي، فإن الاستفادة من ثغرة EoP هذه يمكن أن تمكن من اختراق أعمق في البيئات الآمنة.
“تتعرض المؤسسات التي تستخدم أنظمة Windows لخطر كبير، خاصة تلك التي تستخدم أدوات تحرير أسلوب الإدخال (IMEs) التابعة لجهات خارجية لأغراض لغوية أو إقليمية. وأضاف أن مشكلة عدم الحصانة هذه وثيقة الصلة بشكل خاص في البيئات المتنوعة حيث يكون الدعم متعدد اللغات أمرًا بالغ الأهمية، كما هو الحال في المؤسسات العالمية أو المؤسسات التعليمية.
أما بالنسبة للثغرة الثالثة، وهي ثغرة Hyper-V، فالخبر السار هو أن هذا قد يكون أقل تأثيرًا إلى حد ما، على الرغم من أن هذا لا يجعلها بأي حال من الأحوال أقل جدارة بالاهتمام، كما قال تايلر ريجولي، فورترا وأوضح المدير المساعد للبحث والتطوير الأمني.
وقال ريجولي: “لحسن الحظ… هناك عدد من المعايير التي تجعل من غير المرجح أن نشهد استغلال هذه الثغرة الأمنية”.
“تشير Microsoft إلى أن أجهزة معينة فقط هي التي تأثرت، مما قد يسمح بتجاوز UEFI ويؤدي إلى اختراق برنامج Hypervisor، وقد يتطلب ذلك إعادة تشغيل النظام أولاً وأن يتمكن المهاجم من الوصول إلى الشبكة المحلية، كما حددت Microsoft متجه الهجوم في نتيجة CVSS مع القيمة المجاورة التي نادرًا ما تظهر مما يعني أن الهجوم يجب أن ينشأ من نفس الشبكة المادية أو المنطقية.
